Zlonamerna programska oprema Android.Vo1d
Približno 1,3 milijona TV sprejemnikov, ki temeljijo na sistemu Android, delujejo na zastarelih sistemskih različicah in se uporabljajo v 197 državah, je ogrozila na novo odkrita zlonamerna programska oprema, imenovana Vo1d (znana tudi kot Void). Ta zakulisna zlonamerna programska oprema vdela svoje komponente v sistemsko shrambo in lahko prikrito prenese in namesti aplikacije tretjih oseb, ko prejme ukaze od napadalcev.
Največ okužb je bilo ugotovljenih v Braziliji, Maroku, Pakistanu, Savdski Arabiji, Argentini, Rusiji, Tuniziji, Ekvadorju, Maleziji, Alžiriji in Indoneziji.
Napad Vo1d je tarča več naprav
Natančen vir okužbe ostaja nejasen. Kljub temu obstaja sum, da izvira iz predhodnega kompromisa, ki je napadalcem omogočil pridobitev korenskih pravic, ali uporabe neuradnih različic vdelane programske opreme z vgrajenim korenskim dostopom.
Ta kampanja je ciljala na naslednje modele televizorjev:
- KJ-SMART4KVIP (Android 10.1; KJ-SMART4KVIP Build/NHG47K)
- R4 (Android 7.1.2; R4 Build/NHG47K)
- TV BOX (Android 12.1; TV BOX Build/NHG47K)
Napad vključuje zamenjavo demonske datoteke '/system/bin/debuggerd' (izvirna datoteka je preimenovana v 'debuggerd_real' kot varnostna kopija) in dodajanje dveh novih datotek: '/system/xbin/vo1d' in '/system/xbin/ wd.' Te datoteke vsebujejo goljufivo kodo in se izvajajo hkrati.
Google je ugotovil, da prizadeti modeli televizorjev niso bile naprave Android s certifikatom Play Protect in so verjetno uporabljale izvorno kodo iz repozitorija odprtokodnega projekta Android (AOSP).
Kibernetski kriminalci so spremenili datoteke Android za dostavo zlonamerne programske opreme
Pred Androidom 8.0 so zrušitve upravljali demoni debuggerd in debuggerd64, kot je navedeno v Googlovi dokumentaciji za Android. Začenši z Androidom 8.0 se na zahtevo ustvarita »crash_dump32« in »crash_dump64«.
Kot del kampanje zlonamerne programske opreme sta bili dve datoteki, ki sta običajno del operacijskega sistema Android – install-recovery.sh in daemonsu – spremenjeni za izvajanje zlonamerne programske opreme z zagonom modula 'wd'.
Raziskovalci kibernetske varnosti domnevajo, da so avtorji zlonamerne programske opreme verjetno poskušali eno od njenih komponent prikriti kot sistemski program '/system/bin/vold' tako, da so jo poimenovali 'vo1d', pri čemer so male črke 'l' zamenjali s številko '1', da bi ustvarili podobno videz.
Koristni tovor 'vo1d' zažene modul 'wd' in poskrbi, da ostane aktiven, hkrati pa prenese in zažene izvedljive datoteke po prejemu ukazov s strežnika za ukaze in nadzor (C2). Poleg tega nadzoruje določene imenike in namesti vse datoteke APK, ki jih najde.
Na žalost ni nenavadno, da proizvajalci nizkocenovnih naprav uporabljajo zastarele različice OS in jih tržijo kot novejše, da bi bili njihovi izdelki videti privlačnejši.